home *** CD-ROM | disk | FTP | other *** search
/ Hacks & Cracks / Hacks_and_Cracks.iso / hackersclub / km / news / 1997 / feb / news5.txt < prev    next >
Encoding:
Text File  |  1998-03-25  |  4.9 KB  |  81 lines

  1.               Microsoft's Security Advice To Users:
  2.               Don't Take Candy From Strangers
  3.               (2/6/97; 5:44 p.m. EST)
  4.               By Clare Haney, TechWire
  5.  
  6.               REDMOND, Washington -- The activities of a group of German
  7.               hackers in Germany a week ago has forced Microsoft to further
  8.               accelerate its attempts to publicize the inherent dangers lurking on the
  9.               Internet.
  10.  
  11.               Last Wednesday, the Chaos Computer Club, a well-established hacker
  12.               organization headquartered in Hamburg, demonstrated on German
  13.               television how its members could theoretically electronically transfer
  14.               funds from an individual's bank account without using a personal
  15.               identification number or a transaction number.
  16.  
  17.               The demo centered around the hackers being able to gain access to the
  18.               transaction list contained within Intuit's personal accounting software
  19.               Quicken via an ActiveX control, while using Microsoft's Explorer Web
  20.               browser.
  21.  
  22.               Once a user has accessed the Web site containing the ActiveX control
  23.               and the applet has recognized that Quicken is on the victim's machine,
  24.               the control gives the accounting software a transfer order which is then
  25.               saved along with other Quicken pending transfer orders. The damage is
  26.               done the next time the user sends off their pending transfer orders to
  27.               the bank.
  28.  
  29.               All the orders would then be executed, including the ActiveX one,
  30.               meaning that money could potentially be spirited out of the user's
  31.               account, without their knowledge, and into that of the hackers.
  32.  
  33.               Cornelius Willis, group product manager for Internet platforms at
  34.               Microsoft, stressed the theoretical nature of the TV demonstration,
  35.               saying "We have yet to determine if there has been a security breach.
  36.               This is the usual thing people do - carry out a demo and get a lot of
  37.               publicity. But we do take this kind of thing very seriously."
  38.  
  39.               He revealed that Microsoft has already made contact with CCC and is
  40.               "encouraging them to co-operate," although the hackers have yet to
  41.               release the ActiveX control to the company so that they can check it
  42.               out. The Club is promising to publicly release the ActiveX control on
  43.               the Web on February 20.
  44.  
  45.               Willis went on to emphasize the general nature of the problem.
  46.  
  47.               "Clearly, ActiveX will get a bad rap here, but that's a mistake, this
  48.               involves all executables," Wills said. "We are concerned that users
  49.               understand that all executable content on the Internet is potentially
  50.               dangerous. No user should download applets from unknown sources.
  51.               The basic message here is: don't take candy from strangers. The
  52.               problems are becoming a bit better understood, but we've really got to
  53.               educate users."
  54.  
  55.               He added that Microsoft expects to highlight this issue with a program
  56.               to be launched within the next few weeks, that among other things will
  57.               involve bringing a chat site on Internet security already hosted on the
  58.               company's Web site more to the fore.
  59.  
  60.               He pointed to the fact that the current version of Internet Explorer 3.0
  61.               is the only Web browser to include code signing, a feature Microsoft
  62.               calls Authenticode, allowing users to identify "with a high degree of
  63.               certainty" the author of a Java applet, an ActiveX control or a plug-in
  64.               and to determine that the component in question hasn't been tampered
  65.               with in transit to the user's desktop.
  66.  
  67.               Willis also recommends that, in order to ramp up their Internet security
  68.               protection, corporations should establish internal testing organizations
  69.               to give such components a digital certificate certifying that they've been
  70.               shown to be non-malicious to potential end users.
  71.  
  72.               For Intuit, Mark Goines, the company's international vice president,
  73.               asserts that its Quicken software already contains a stringent review
  74.               process for any transaction comprising authorization, review,
  75.               verification, review and reverification stages.
  76.  
  77.               Goines said that the TV program provoked very little reaction, but that
  78.               a few worried Intuit customers did contact the company's German
  79.               office. Like Microsoft's Willis, he stresses the theoretical nature of the
  80.               hackers' demonstration and adds that Intuit German staff want to
  81.               investigate some of the claims made by CCC in the program.